Worm/Traxgy.B - Worm

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	Worm/Traxgy.B
Scoperto:	30/08/2005
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio-Alto
Potenziale di danni:	Medio-Basso
File statico:	No
Dimensione del file:	57.344 Byte
Versione IVDF:	6.31.01.196

Generale Metodi di propagazione:
   • Email
   • Rete locale
   • Unità di rete mappata

Alias:
   • Kaspersky: Email-Worm.Win32.Rays
   • F-Secure: Email-Worm.Win32.Rays
   • Sophos: W32/Traxg-B
   • Panda: W32/Vinet.A.worm
   • Grisoft: I-Worm/Rays.E
   • Bitdefender: Win32.Rays.H@mm

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Clona un file “maligno”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

File Si copia alle seguenti posizioni:
   • A:\Explorer.EXE
   • A:\WINDOWS.EXE
   • %unità disco%:\WINDOWS.EXE
   • %unità disco%:\ghost.bat
   • %tutte le directory%\%nome della directory corrente%.exe

Fa una copia di se stesso utilizzando un nome file dalla lista:
– A: %WINDIR%\\system\ Utilizzando uno dei seguenti nomi:
   • %numero esadecimale%.com

– A: %WINDIR%\fonts\ Utilizzando uno dei seguenti nomi:
   • %numero esadecimale%.com

– A: %WINDIR%\\temp\ Utilizzando uno dei seguenti nomi:
   • %numero esadecimale%.com

– A: %WINDIR%\help\ Utilizzando uno dei seguenti nomi:
   • \%numero esadecimale%.com

Vengono creati i seguenti file:

– File “non maligno”:
   • %tutte le directory%\desktop.ini

– A:\NetHood.htm Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: VBS/Zapchast.B

– %unità disco%:\NetHood.htm Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: VBS/Zapchast.B

– %tutte le directory%\folder.htt Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: VBS/Zapchast.B

Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TempCom = %WINDIR%\\system\%numero esadecimale%.com
   • TempCom = %WINDIR%\fonts\%numero esadecimale%.com
   • TempCom = %WINDIR%\\temp\%numero esadecimale%.com
   • TempCom = %WINDIR%\help\%numero esadecimale%.com

Il valore della seguente chiave di registro viene rimosso:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • KaV300XP

Vengono cambiate le seguenti chiavi di registro:

Varie opzioni di Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valore precedente:
   • fullpath = %impostazioni definite dell'utente%
   Nuovo valore:
   • fullpath = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valore precedente:
   • HideFileExt = %impostazioni definite dell'utente%
   • Hidden = %impostazioni definite dell'utente%
   Nuovo valore:
   • HideFileExt = dword:00000001
   • Hidden = dword:00000000

Email Utilizza il Messaging Application Programming Interface (MAPI) per inviare email. Le caratteristiche sono ulteriormente descritte:

Da:
L’indirizzo del mittente è l'account Outlook dell'utente.

A:
– Indirizzi email raccolti da WAB (Windows Address Book)

Oggetto:
Il seguente:
   • %testo in cinese%

Corpo dell'email:
Il corpo dell’email è come il seguente:
   • %testo in cinese% Document.exe %testo in cinese%

File allegato:
Il nome del file allegato è:
   • Document.exe

L'allegato è una copia del malware stesso.

L’email si presenta come di seguito:

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Andrei Gherman il Fri, 21 Sep 2007 10:34 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Fri, 21 Sep 2007 11:02 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro